Zoeken

Zo krijg je een voorsprong als nieuwe CISO

Een nieuwe Chief Information Security Officer (CISO) vindt de eerste dag vaak overweldigend, geconfronteerd met een nieuwe en vaak complexe omgeving. Maar met een paar eenvoudige stappen kunnen ze het vertrouwen vinden om door te gaan met hun plannen en de situatie snel onder controle krijgen.

CISO's zijn belast met het beschermen van de informatiemiddelen, infrastructuur, mensen en technologie in de onderneming. De CISO speelt een cruciale rol bij het beoordelen en verminderen van informatierisico's.

Zie jezelf als een strateeg

CISO's zijn vaak ambitieuze individuen die zijn voortgekomen uit werk in de IT in een of andere hoedanigheid, wellicht Operations, risicoanalyse of als  IT-beheerder. Ze waren verantwoordelijk voor routinetaken en -activiteiten. Plots wordt hen als CISO gevraagd om leiding te geven, wat beangstigend kan zijn.

Richard Jones, de CISO bij Orange Cyberdefense, is van mening dat de eerste stap die een nieuwe CISO moet nemen, is "hun rol van functionele verantwoordelijkheid achter zich te laten en zichzelf als strategen te zien".

Strategen zijn niet verantwoordelijk voor het doen. Ze zijn verantwoordelijk voor het plannen, evalueren, stellen van doelen en doelstellingen. CISO's zijn er om beveiligingsstrategieën te ontwikkelen die zijn afgestemd op wat een onderneming als bedrijf probeert te bereiken.

“De visie van een CISO is niet langer vandaag, morgen of deze week. Het gaat over het waarderen van het verleden en het anticiperen op de toekomst. Dit vereist een aanzienlijke mentaliteitsverandering, wat niet van de ene op de andere dag gebeurt”, legt Jones uit.

Neem de beveiligingsstructuur van de organisatie onder de loep

Elke nieuwe CISO moet inzicht hebben in de huidige volwassenheid en componenten van de beveiligingshouding van een onderneming. Onderzoek interne en externe auditrecords, eventuele beveiligingscertificeringen die de onderneming mogelijk heeft en wat geïnteresseerde partijen hebben gezegd over haar beveiligingspraktijken.

Naast de betrokkenheid van belanghebbenden, zullen deze formele beveiligingsbeoordelingen helpen om een ​​licht te werpen op eventuele in het oog springende security gaps in het beveiligingsprogramma. Als er geen audits of assessments beschikbaar zijn, moet de CISO er een prioriteren.

“Het is een cliché, maar je kunt niet plannen waar je heen gaat als je niet weet waar je bent. Deze achtergrondinformatie is essentieel voor het plannen van toekomstige inspanningen op het gebied van cybersecurity", zegt Jones.

Vorm een ​​samenwerkingsrelatie met de CIO

Een CISO in elke organisatie is er om de strategie voor cybersecurity te definiëren. Uiteindelijk begint die strategie met informatietechnologiesystemen, dus het is van cruciaal belang dat de CISO een sterke relatie opbouwt met de CIO en het bredere IT-team om productieve en veilige initiatieven te implementeren.

Als strateeg moeten CISO's kijken naar de betrokkenheid van beveiliging bij IT-projecten, zowel huidige als voorgaande, en hoe deze in de algemene levenscyclus voorkomt. Risicobeheer en beveiliging staan ​​bovenaan de agenda van ondernemingen. CISO's en CIO's moeten samenwerken om zakelijke behoeftes en risico's in evenwicht te brengen. Dit omvat het waarderen en begrijpen van elkaars omgevingen.

Begrijpen wat gebruikers met hun gegevens doen

Een van de belangrijkste taken van een CISO is het beschermen van de digitale assets van een organisatie, inclusief bedrijfskritieke gegevens en intellectueel eigendom. Maar voordat dit kan worden gedaan, is het noodzakelijk om te weten welke gegevens de organisatie bezit en waar deze zich bevindt. Is het on-premise, opgeslagen in de cloud of bij derden?

Elke nieuwe CISO moet de gegevensstroom begrijpen en precies weten wat gebruikers met gegevens doen. Het wordt ten zeerste aanbevolen dat CISO's inzicht hebben in wie toegang heeft tot welke applicaties en een overzicht hebben van welke gegevens naar applicaties worden verzonden of gedownload.

Maak van beveiliging een onderwerp voor de hele onderneming

Beveiliging is niet alleen technische competentie. Het raakt alle hoeken van de onderneming. Elke nieuwe CISO moet worden gezien als een leider en volledig begrijpen hoe cybersecurity en risicobeheer in de bredere organisatie passen. Veel CISO's worstelen hiermee. De beste manier om vooruit te komen, adviseert Jones, is om een ​​forum samen te stellen van alle afdelingen, van HR en marketing tot financiën. Ontdek wat hun pijnpunten zijn op het gebied van regelgeving en bijvoorbeeld privacy vereisten voor gegevens.

“De CISO is er om een ​​beveiligingsprogramma te creëren waarmee het bedrijf flexibeler kan zijn en veilig zijn koers kan varen. Als de CISO niet is verbonden met de bedrijfsafdelingen en hun doelstellingen, is het onmogelijk om de security posture van de onderneming te verbeteren”, legt Jones uit.

Tegelijkertijd moet de CISO kijken naar de beveiligingscultuur in de hele organisatie. Is het een van een hoog bewustzijn of een klik gerelateerd aan de cultuur? De CISO moet een organisatiebrede mentaliteit koesteren die erkent dat elke medewerker bijdraagt ​​aan een veilige organisatie.

Plannen voor een effectieve incident response

In een connected world waar geen enkele organisatie volledig kan worden beschermd tegen een aanval, staat een effectieve strategie voor incident response centraal in de rol van een CISO. Een cybersecurity-inbreuk is een organisatorische crisis, dus het is absoluut noodzakelijk om een ​​multifunctioneel team te hebben om het plan uit te voeren. "Het is belangrijk dat de CISO tijd besteedt aan de capaciteit voor incidentbeheer en ervoor zorgt dat deze sterk is", legt Jones uit. Naast het indammen van het lek, is het ook essentieel om plannen te hebben om de gevolgen te beheersen. Door effectief te communiceren met iedereen op wie de inbreuk mogelijk gevolgen heeft gehad, wordt bijvoorbeeld het risico van het merk, wettelijke en juridische schade verminderd.

En tot slot, begrijp de business

Zoals Gartner aangeeft, zijn CISO's nu essentiële enablers in digitale zaken. CISO's zijn verantwoordelijk voor het helpen van de onderneming om de bijbehorende risico's en voordelen in evenwicht te brengen. “Het beveiligingsprogramma maakt het bedrijf wendbaarder en maakt zijn koers veilig. De CISO is er om te adviseren en te begeleiden. Als de CISO niet verbonden is met het bedrijf, implementeren ze processen omwille van het proces, wat misschien niet past bij bedrijfsinitiatieven”.

"De CISO van vandaag moet zich richten op vandaag en het concept van business enablement begrijpen, en de toekomst zal beter en rooskleuriger zijn", besluit Jones.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.